Compatibilidad de entidad emisora de certificados de terceros para sistema de archivos cifrados

Seleccione idioma Seleccione idioma
Id. de artículo: 273856 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo describe cómo Microsoft Windows 2000 admite entidades emisoras de certificados de terceros (CA) que emiten certificados de sistema de archivos cifrados (EFS) y certificados de agente de recuperación de EFS.

Información general

En este artículo se divide en dos secciones siguientes:
  • Una breve explicación de EFS y su uso de la infraestructura de claves pública.
  • La forma en los que se permite una CA de terceros para emitir certificados para su uso por EFS tanto en el archivo cifrado como en recuperación.

Más información

Introducción a EFS y la infraestructura de claves pública

EFS es la solución en Windows 2000 para cifrar archivos en volúmenes de sistema de archivos NTFS. EFS utiliza la característica de infraestructura de claves públicas y la característica arquitectura de cifrado en Windows 2000.

Inscripción de certificados

Durante una operación de cifrado, EFS utiliza el certificado EFS actual. Si uno no está disponible, EFS busca en su almacén personal de un certificado apropiado. Si EFS no pueden encontrar un certificado actual, inscriba un certificado de EFS. Una CA de 2000 de Windows en línea que admite la plantilla de EFS puede emitir un certificado de EFS. EFS genera un certificado autofirmado si no puede inscribir un certificado con una entidad emisora en línea de Windows 2000 o si no está utilizando una cuenta de dominio.

Después EFS elige un certificado, no puede cambiar mediante la interfaz de usuario del sistema. Además, EFS no automáticamente cambia certificados cuando una mejor uno disponible (como cuando EFS utiliza su propio certificado autofirmado y inscribir un certificado EFS desde una CA de Windows 2000 en línea).

Hay dos formas de cambiar el certificado EFS utiliza:
  • Para establecer el nuevo certificado para EFS, utilice SetUserFileEncryptionKey API, que se documenta Microsoft Developer Network (MSDN). EFS inicia con el nuevo certificado inmediatamente.
  • Cambiar el hash del certificado almacenada en la siguiente clave del registro para el campo de huella digital en el nuevo certificado:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    Valor: CertificateHash
    Tipo: REG_BINARY
    Datos: Huella digital del certificado nuevo
EFS espera las claves para el certificado EFS se almacene el proveedor de servicios de Microsoft Rivest-Shamir-Adelman Base (RSABase) cifrado (CSP). El atributo de Información de clave en el certificado debe señalar a este proveedor. EFS se busca en el almacén de certificados MY , que contiene los certificados y claves privadas.

Archivo cifrado y descifrado de datos

EFS utiliza una clave simétrica generada aleatoriamente para cifrar datos de archivo. Se genera una clave nueva para cada archivo está cifrado. El algoritmo de cifrado de datos que se utiliza es DESX (una versión más segura de Data Encryption Standard). No hay otros algoritmos pueden configurarse.

La clave de cifrado simétrica a continuación, se cifra mediante la clave pública derivada su certificado de EFS. Los datos cifrados resultantes, tu nombre para mostrar y un hash del certificado se almacena en una secuencia con nombre en el archivo que contiene metadatos de EFS. Cuando EFS descifra un archivo, utiliza su clave privada para descifrar la clave de cifrado simétrica. EFS utiliza a continuación, la clave simétrica para descifrar los datos.

Para cifrar un archivo en un servidor de red, EFS carga su perfil en la red si tiene perfiles móviles. Si no tienen perfiles móviles, EFS espera encontrar el certificado y las claves en el servidor e intenta generar un perfil existe.

Cuando se copia un archivo con EFS a través de una red, se descifra y se envían a través de la red en texto sin cifrar. Para proteger los archivos mientras están en tránsito de la red, usar seguridad IP.

Renovación del certificado EFS

Cuando caduca el certificado EFS, EFS realiza renovación inscribir un certificado nuevo con un nuevo par de claves. EFS, Sí, no se renueva el certificado actual cuando caduque.

Si renovar el certificado EFS y archivar el certificado antiguo antes de que caduque, EFS continúa utilizando el certificado antiguo hasta que caduca. EFS, a continuación, recorre el mismo proceso para la inscripción para buscar un nuevo certificado en el almacén o adquirir una nueva si no encuentra un certificado válido. Mientras busca un nuevo certificado, EFS pueden obtener un certificado que es distinto del que adquirió a través de renovación, si no hay más de un certificado de EFS en el almacén.

Después de que EFS se inicie usar un certificado nuevo, si controla un archivo que se ha cifrado anteriormente con un certificado diferente, EFS vuelve a generar los metadatos para utilizar el nuevo certificado.

Comprobación de revocación

EFS no realiza ninguna comprobación de revocación.

Agente de recuperación de EFS

Puede utilizar a agentes de recuperación de EFS para descifrar un archivo cifrado si el usuario que cifró el archivo deja su compañía. Puede inscribir certificados de agente de recuperación de EFS mediante la plantilla EFS Recovery en las entidades emisoras de certificados de Windows 2000.

Certificados de agente de recuperación EFS se pueden establecer en directiva de dominio global para todos los usuarios en el dominio. También puede establecer estos certificados para todos los usuarios en el equipo local en directiva de equipo local. Si ambas directivas están presentes, la directiva global tiene prioridad.

Para abrir al Asistente para agregar agente de recuperación, haga clic en Directiva de grupo , haga clic en Directivas de claves públicas y, a continuación, haga clic en Cifrado agentes de recuperación de datos . Este asistente le permite designar los certificados de agente de recuperación. Haga clic en Examinar carpetas y, a continuación, haga clic en el archivo certificado para importar directamente como el certificado de agente de recuperación. El certificado se importa con la notación de agente de recuperación de usuario desconocido . Esto ocurre en cualquier certificado de CA de terceros que se designa como un certificado de agente de recuperación.

Si publica el certificado en el directorio para un usuario (que se produce si se inscriba contra una CA de 2000 de Windows en línea para el certificado Agente de recuperación de EFS para el usuario), puede utilizar al Asistente para importar directamente al usuario como un agente de recuperación. Examinar el directorio y seleccionar el usuario que desee designar como agente de recuperación.

Durante el cifrado de archivos, la clave de cifrado simétrica se cifra también a la clave pública del agente de recuperación y la información se almacena en la secuencia con nombre que contiene metadatos de EFS. A continuación para recuperar un archivo cifrado, EFS utiliza la clave privada del agente de recuperación para descifrar la clave de cifrado simétrica, que EFS, se utiliza para descifrar los datos.

Reglas para la CA de terceros para crear y utilizar EFS válidos y el agente de recuperación de EFS certificados

Certificados EFS

Las reglas para formar el certificado son:
  • Debe contener la extensión de uso de claves en el certificado de cifrado de clave y el cifrado de datos.
  • La extensión uso mejorado de claves en el certificado debe contener el identificador de sistema de archivos cifrado (1.3.6.1.4.1.311.10.3.4).
  • Durante el uso, debe almacenar las claves en el CSP RSABase de Microsoft.
  • La propiedad de Información de clave en el certificado debe apuntar a esta clave.
Para contener los valores correctos KeyUsage y EnhancedKeyUsage , quizás tenga que personalizar las autoridades de certificación de terceros para emitir certificados que contienen los valores correctos.

Hay dos formas para inscribir los certificados EFS con productos de terceros:
  • La CA de terceros puede proporcionar una inscripción es independiente de arquitectura de proveedor de Microsoft. En ese caso, el proveedor debe exportar el certificado y la clave privada que está asociada con el certificado en un archivo que puede importarse en su perfil utilizando el complemento de MMC Administrador de certificados. Las claves se importan a Microsoft RSABase CSP y se establece la propiedad Información clave para este proveedor.
  • La CA de terceros puede proporcionar un procedimiento de inscripción basada en Web que utiliza el control XEnroll de Microsoft para los clientes de Microsoft para inscribir certificados. Con este método de inscripción, se las claves se almacenan automáticamente en el CSP RSABase de Microsoft y se está establecida la Información de clave .
Después de inscribirse para obtener un certificado, o después de renovar un certificado, debe informar a EFS acerca del cambio si cualquier certificado ha utilizado anteriormente. Tiene que configurar una llamada a SetUserFileEncryptionKey puntos en el nuevo certificado. Si se crea el certificado antes de cualquier operación de EFS, no es necesario configurar una llamada SetUserFileEncryptionKey . EFS se encuentra el nuevo certificado en el almacén de certificados personales y lo establece como el certificado predeterminado.

Certificados de recuperación de EFS

Las reglas para formar el certificado son:
  • Uso de claves = cifrado de clave
  • EKU = archivo Recovery(1.3.6.1.4.1.311.10.3.4.1)
Como se indicó en la sección "Certificado EFS", la CA de terceros puede ofrecer los clientes de Microsoft con páginas de inscripción en Web para inscribir los certificados o la CA de terceros puede exportar el certificado y la clave privada asociada a un archivo que puede importarse a un cliente de Microsoft.

Una vez creado, se puede importar el certificado mediante el Asistente para Agente de recuperación.

Durante la recuperación de archivos, se deben importar el certificado de recuperación de archivos y la clave privada en el sistema se utiliza para recuperar los archivos según las directrices siguientes:
  • Las claves deben almacenarse en el CSP RSABase de Microsoft.
  • La propiedad de Información de clave en el certificado debe apuntar a esta clave en el CSP RSABase. El nombre de proveedor debe ser "Microsoft Base Cryptographic Provider v1.0".
Puede utilizar Importar el certificado en el complemento MMC certificados para importar el certificado y clave privada. importante : las reglas que se describen en este artículo se han validado por Microsoft mediante la configuración de un producto de entidad emisora de certificados a la izquierda, de otros fabricantes para emitir el agente de recuperación de EFS y EFS certificados. El EFS probar equipo probado cifrado y recuperación utilizando estos certificados.

Propiedades

Id. de artículo: 273856 - Última revisión: miércoles, 28 de febrero de 2007 - Versión: 5.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 273856

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com